Aktivt utnyttjad SharePoint-sårbarhet CVE-2026-32201 — patcha nu

Microsoft släppte i går, 14 april, en patch för CVE-2026-32201 — en sårbarhet i SharePoint Server som utnyttjas aktivt. CISA lade till den i sin KEV-katalog samma dag. Federala myndigheter har deadline på sig att åtgärda. Ni bör behandla den på samma sätt.

Det är en felaktig indatavalidering som låter en oautentiserad angripare spoofa legitima förfrågningar över nätverket. Påverkar SharePoint Server Subscription Edition, 2019 och Enterprise 2016. Microsoft släppte fixen som del av april-Patch Tuesday, tillsammans med 166 andra brister.

Varför det spelar roll för svenska SMB

Många svenska mindre företag kör fortfarande SharePoint Server i hybridläge — ofta för att migrationen till SharePoint Online stannat halvvägs. Det är precis den konfigurationen som nu exponeras. Attacker mot hybrida SharePoint-miljöer ger ofta en fot in i Entra ID via AD Connect och vidare mot hela M365-tenanten.

Om ni har M365 Business Premium och tror att "vi är i molnet" men fortfarande har en SharePoint-server som pratar med Exchange on-prem eller Teams — ni är påverkade.

Vad ni ska göra

1. Inventera alla SharePoint Server-installationer, inklusive hybrid. Verifiera byggnummer mot Microsofts april-release.
2. Kör april-patchen i en pilotring inom 24 timmar, bred utrullning inom 72 timmar.
3. Kontrollera IIS-loggar de senaste 14 dagarna efter ovanliga _layouts/-anrop från okända IP-adresser.
4. Om ni inte redan har det — sätt ett Conditional Access-krav på enhetens efterlevnad för SharePoint-åtkomst.

Det här är inte en sårbarhet att vänta med till nästa servicefönster. CISA-deadline finns för en anledning.

Så hjälper HaggeBurger

Vi kör en Quick Check på ert SharePoint-patchläge inom två timmar, verifierar hybrid-integriteten och ger er ett skriftligt utlåtande ni kan visa revisor eller styrelse. Om ni vill ta bort hela on-prem-beroendet har vi ett fast Migration Accelerator-paket till SharePoint Online på 2–4 veckor.

Vill du att vi kollar er miljö? Kontakta oss.